엔드포인트 보안의 현재와 미래 ‘EDR’의 모든 것
EDR 개념에서부터 특장점, 솔루션, 그리고 활용사례까지
EDR 대표주자 이스트시큐리티, ‘시큐리티 어워드 코리아 2019’ EDR 부문 솔루션 대상
[보안뉴스 원병철 기자] 엔드포인트 보안의 새로운 대안으로 떠오르며 2015~2016년 화려하게 등장한 EDR(Endpoint Detection&Response). 특히, 2016년 RSA에서 EDR 붐이 크게 불고난 후 국내에서도 많은 EDR 제품이 등장했다. 하지만 너무나 빠른 등장이었을까?
EDR은 처음 분위기와는 달리 국내 시장에서는 크게 환영받지 못했다. 이미 자리를 굳건하게 잡고 있던 엔드포인트 솔루션과 EDR의 차이점을 이해하지 못한 사용자들, EDR에 대한 접근법이 달라 기업별로 서로 다른 제품들 등 시장에서 매끄럽게 자리잡지 못했기 때문이다. 하지만 시대의 변화에 적응하기 위해 만들어진 제품인 만큼 EDR은 2018년과 2019년부터 조금씩 시장을 형성하기 시작했다.
[사진=dreamstime]
EDR은 이름 그대로 ‘엔드포인트(Endpoint)’의 보안위협을 ‘탐지(Detection)’하고 ‘대응(Response)’하는 제품이다. 우리가 흔히 사용하는 ‘PC’ 혹은 ‘서버’와 ‘모바일’, ‘IoT’가 바로 엔드포인트 제품이다.
엔드포인트는 우리가 사용하는 가장 마지막 단계이기 때문에 보안에 있어서도 매우 중요한 포지션을 차지하고 있다. 특히, 최근 랜섬웨어나 피싱 등 엔드포인트를 노리는 사이버공격이 증가하면서 그 중요성이 더욱 부각되고 있다. 물론 엔드포인트를 위한 보안제품은 이미 존재한다. 우리가 흔히 ‘백신’이라고 부르는 ‘안티 바이러스’ 제품이나 ‘랜섬웨어’에 특화된 ‘안티 랜섬웨어’, 그리고 APT 공격을 방어하기 위한 ‘APT 솔루션’ 등이 그것. 그럼에도 불구하고 EDR이 등장한 이유는 뭘까? 그리고 다양한 엔드포인트 솔루션 사이에서 EDR이 선택받을 수 있는 이유는 무엇일까?
알려지지 않은 보안위협의 증대 해결책은 EDR
다양한 엔드포인트 솔루션이 있음에도 EDR이 등장한 이유는 바로 ‘언노운(Unknown)’ 즉, ‘알 수 없는 위협’ 때문이다. 백신과 안티 랜섬웨어, 그리고 APT 솔루션은 그 목적이 명확하다. 바이러스 혹은 악성코드가 엔드포인트를 공격하는 것을 방어하거나(백신), 랜섬웨어 공격으로부터 엔드포인트를 보호하는 것(안티 랜섬웨어), 혹은 APT 공격에 대응하는 것(APT 솔루션)이 주목적인 것이다.
문제는 사이버공격 역시 진화하거나 제로데이 취약점(알려지지 않은 취약점. 알려지지 않았기 때문에 해결할 수 있는 방법이 없어 공격을 받으면 속수무책이며, 심지어 언제·어떤 공격을 했는지도 알 수 없다) 등으로 인해 기존 보안 솔루션들이 놓치는 공격이 있다는 점이다. 특히, 제로데이 취약점을 이용해 엔드포인트에 바이러스 등이 침입하고 공격의 때를 기다리며 움직이지 않을 경우 기존 솔루션으로는 알 수 있는 방법이 없다. 게다가 보안기업들이 AI 혹은 머신러닝 등 첨단기술을 바탕으로 보안 솔루션을 만드는 것처럼 공격자들 역시 이러한 첨단기술을 활용해 공격하고 있다. ‘적대적 머신러닝(Adversarial Machine Learning)’을 토대로 새로운 방어기법들을 우회하는 공격을 감행하고 있다는 것이다.
실제로 이글루시큐리티는 ‘적응형 학습’을 토대로 시그니처 기반의 탐지를 우회하는 자동화된 공격이 급격히 증가할 것으로 전망했으며, 카스퍼스키랩은 2019년 1분기 모바일 뱅킹 악성코드가 58% 증가하고, 2018년 상반기 IoT 기기를 노린 악성코드 변종이 무려 12만 종이 넘었다고 발표한 바 있다.
제로데이 취약점을 이용한 공격이나 방어기법을 우회하는 공격, 혹은 방어하는 솔루션이 잘 모르는 ‘신종’ 혹은 ‘변종’ 악성코드를 사용한 공격은 기존 솔루션들이 방어하기 어렵다. ‘공격’임을 알아야 ‘방어’를 할 텐데, 이게 공격인지 모른다면 방어 자체를 하지 않기 때문이다. 상대방이 ‘적’인 것을 확인해야 그에 따른 방어 혹은 대응을 할 수 있다는 얘기다. 이로 인해 보안기업들은 공격에 사용되는 ‘바이러스’ 혹은 ‘취약점’의 존재를 확인하고, 이 정보를 업데이트 등을 통해 자사의 보안 솔루션에 학습시킨다. 많이 사용하는 PC용 안티바이러스 제품이 PC를 켤 때마다 업데이트 하는 이유는 바로 이 때문이다.
그럼에도 불구하고 엔드포인트 보안 솔루션들은 이미 발생한, 혹은 이미 공격을 시작한 ‘위협’에 대응하기 위한 제품이기 때문에 ‘사전적’ 대응을 하기란 쉽지 않다. 특히, 앞서 설명한 ‘제로데이’ 혹은 신·변종 악성코드와 같은 ‘알려지지 않은(Unknown)’ 위협에는 대응하기 어렵다.
EDR은 이러한 알려지지 않은 위협들에 대응하기 위해 만들어진 제품이다. 아울러 단순히 위협을 찾아내는데 그치지 않고, 찾아낸 정보를 ‘가시적’으로 보여줘 사용자가 능동적으로 대처할 수 있도록 도와준다.
이 때문에 EDR은 백신과 같은 B2C 제품이 아닌 기업이나 기관에서 사용하는 B2B 제품이다. EDR이 탐지해낸 알려지지 않은 위협을 기업이나 기관의 보안담당자에게 알려줘 대응할 수 있도록 한다. 황상복 이스트시큐리티 부장은 “EDR은 백신처럼 문제를 스스로 해결해주는 것이 아닌 문제가 될 수 있는 것을 찾아 보안담당자에게 알려줘 대처할 수 있도록 돕는 솔루션이다. 이에 따라 현재 EDR은 최소한의 분석을 통해 보안정책을 만들 수 있는 보안팀을 갖춘 기업이나 기관만이 EDR을 사용할 수 있다”고 설명한다.
2015년 태동부터 2018년 본격 제품 출시까지
EDR은 RSA 2016에서 소개되며 주목받기 시작했다. 미국의 2016년 EDR 시장은 6억달러 이상으로 집계됐고, 글로벌 시장조사기관 가트너는 2015년부터 2020년까지 연평균복합성장률(CAGR)을 45.27%로 추산, 약 15억달러 규모로 예상하고 있어 향후 성장에 대한 기대감도 큰 상태다.
국내에서는 2018년을 기점으로 조금씩 EDR을 도입하는 기업과 기관이 늘고 있다. 이제 시작하는 만큼 정확한 시장규모를 산출하기는 어렵지만, 업계에서는 2018년과 2019년 상반기동안 100~150여개의 기업과 기관이 EDR을 도입했거나 도입을 계획하고 있는 것으로 보고 있다. 이에 보안기업에서도 저마다 장점을 갖춘 EDR 솔루션으로 중무장한 채 시장 선점에 나서고 있다. 현재 국내업체로는 SK인포섹, 지니언스, 안랩, 이스트시큐리티, 엔피코어, 이노티움, 큐브피아, 하우리 등이, 해외업체는 블랙카본, 사이버리즌, 아카마이, 시스코 등이 시장에 뛰어든 상태다.
우선 국내 최대 정보보호기업 SK인포섹은 EDR 솔루션으로 메모리 포렌식 기반의 DDNA 엔진을 이용한 ETP 솔루션(Countertack ETP)을 내놓았으며, 지니언스는 지난해 이미 EDR 제품으로 ‘지니안 인사이츠 E’를 선보였다. 또한 SK인포섹은 지니언스와 총판계약을 맺고 지니안 인사이트 E를 시장에 공급하고 있다.
안랩 EDR은 지난 30년간 축적된 안랩의 악성코드 분석 기술과 엔드포인트 보안 대응 경험이 집약된 차세대 엔드포인트 보안 솔루션이다. 이스트시큐리티의 알약 EDR은 백신 프로그램 ‘알약’과 EDR, 악성코드 위협 대응 솔루션 ‘쓰렛 인사이드(Threat Inside)’를 연동해 차세대 엔드포인트 보안 체계를 제공하는 것이 특징이다. 또한, 엔피코어는 최근 엔드포인트용 보안 제품 4가지로 PC에서의 APT 공격을 방어하기 위한 좀비제로 EDR for APT 서버에서의 APT 공격을 방어하는 좀비제로 EDR for 서버, PC에서 랜섬웨어를 방어하는 좀비제로 EDR for 랜섬웨어, 서비스로서의 보안 클라우드 방식으로 랜섬웨어로부터 PC를 방어하는 좀비제로 SECaaS(Security as a Service)를 새롭게 출시했다.
이노티움의 경우 EDR 기반으로 실시간 소프트웨어 인증기술과 행위분석 기술을 개발해 실시간 암호화 보안백업 기술과 융합한 ‘랜섬크런처(Ransom Cruncher Algorithm)’ 플랫폼을 리자드 클라우드, 발자국, 리자드백업 제품에 탑재했다. 큐브피아는 엔드포인트로부터 각각의 파일, 프로세서, 네트워크에 대해 동시 모니터링하는 방식인 ‘권가 비헤이비어 모니터링 솔루션(KWON-GA Bahevior Monitoring Solution)’을 제공하고 있다. 하우리는 사용자의 모니터와 행위를 차단하는 EDR 기반의 안티 랜섬웨어 솔루션인 ‘하우리 스마트센서(HAURI Smart Sensor)’를 내놓았다.
EDR의 핵심은 ‘가시성’, 보안담당자가 쉽게 사용할 수 있어야 한다
이렇듯 보안업계는 저마다 주요 기술을 탑재해 올해 활발한 행보를 이어갈 것으로 전망된다. 이는 APT와 랜섬웨어 공격에 대응하기 위한 기존 솔루션에 진일보한 기술 개발과 기능 강화를 통해 EDR 분야 시장 경쟁에 적극 나서겠다는 전략으로 풀이된다.
안랩은 EDR에서 수집된 많은 데이터를 효율적으로 저장·분석하기 위해 데이터를 병렬 분산 처리할 수 있는 빅데이터 기반의 플랫폼을 개발, 안랩 EDR과 함께 출시했다. 엔드포인트 보안 플랫폼 안랩 EPP는 단순히 EDR만을 위한 관리 솔루션은 아니다. 안랩 EPP는 EDR은 물론, V3 제품, 안랩 패치 매니지먼트(AhnLab Patch Management), 안랩 프라이버시 매니지먼트(AhnLab Privacy Management), 안랩 내PC지키미 등 다양한 안랩의 엔드포인트 보안 솔루션을 단일 관리 콘솔을 통해 효율적으로 운영할 수 있는 플랫폼이다. 다수의 엔드포인트 보안 솔루션의 연계를 통해 유연한 보안 관리와 더욱 강력한 위협 대응을 제공한다.
이스트시큐리티는 10년 이상 엔드포인트 보안 사업을 전개하며 키워온 보안 노하우를 집약시킨 제품이 바로 ‘알약 EDR’이라면서, 국민 백신 알약의 1,600만 사용자를 통해 축적해온 악성코드 데이터베이스와 위협 대응 전문 노하우를 기반으로 개발됐다고 강조했다. 아울러 기존 EDR 제품의 한계를 해결하고, 기업에 보다 실효적인 보안 대응 가이드를 제시하는데 초점을 맞췄다고 밝혔다.
지니언스는 ‘지니안 인사이츠 E(Genian Insigths E)’에 머신러닝 기반 악성코드 탐지기술을 탑재했다. 다단계 탐지를 통해 EDR의 악성코드 탐지 기능을 확대해 최신 위협 대응을 위한 지능형 EDR 솔루션 도입을 원하는 고객을 적극 발굴하겠다는 전략이다. 실제로 지니언스는 제품 출시후 3년간 45개의 기업 및 기관에 EDR 솔루션을 납품한 것으로알려졌다.
SK인포섹은 EDR 기술 기반으로 향후 APT 공격에 대응하기 위한 솔루션 공급에 주력하는 한편, 보안관제 노하우를 바탕으로 네트워크에서 엔드포인트 솔루션에 대한 모니터링 중심으로 서비스를 강화할 방침이다. 삼성SDS는 삼성벤처투자펀드를 통해 EDR을 보유한 미국 센티넬원(SentinelOne)에 투자했다고 밝혔다. 센티넬원 EDR 솔루션은 인공지능(AI)-머신러닝 기술로 다양한 악성코드 유형을 학습해 신종·변종 악성코드와 해킹 공격을 차단해 준다. 또한, 해킹 공격이 감지되자마자 침입 경로 로그파일을 분석해 해킹 취약 경로를 막아 추가 피해가 없도록 해준다. 특히, 랜섬웨어 공격 시 EDR 솔루션이 탐지 즉시 랜섬웨어를 삭제해 무력화시키고, 피해를 입은 파일들은 미리 백업한 데이터로 복원시켜 준다.
엔피코어는 본격적인 APT 대응 시장 성장에 힘입어 실질적인 매출 성장이 40% 증가했다고 밝혔다. 이에 따라 제품의 경쟁력 강화를 위해 제품 기능과 기술개발에 박차를 가하겠다는 전략이다. 리얼머신 기반 행위분석 기술을 개발하고, EDR 제품군의 백업기능 고도화, Mac/Linux 지원, 머신러닝 기반의 분석기술 개발, 자체 가상화 플랫폼 개발 등에 주력할 예정이다. 또한, 국제 CC인증을 획득해 미국, 일본, 동남아, 중동 등 해외 시장에 적극 나서는 한편, 국내의 경우 공공기관에 주력한다는 방침이다.
세이퍼존은 18년간 지속적인 연구·개발 및 판매를 통해 국내 최초로 ‘멀티OS용 엔드포인트 통합 탐지·대응 솔루션’ 포트폴리오를 완성했다고 강조했다. 세이퍼존은 18년간 국내 시장에서 검증한 기술로 엔드포인트 보안에 필요한 10개 소프트웨어를 하나의 에이전트로 통합하는 데 성공했다면서, 세이퍼존 제품 하나로 복잡한 보안 에이전트 설치·관리와 엔드포인트 보안을 해결할 수 있을 것이 라고 밝혔다.
EDR 업체가 꼽는 ‘EDR의 핵심기술’
이처럼 EDR 제품은 엔드포인트에서 발생하는 모든 위협에 대응 가능하다고 기대를 모으고 있는 만큼 기술력과 함께 다양한 기능이 무엇보다 중요하다. 그렇다면 이용자 측면에서 옥석 가리기를 위해 EDR 솔루션이 꼭 갖춰야 할 기능은 무엇일까? 김준섭 이스트시큐리티 부사장은 “신·변종 랜섬웨어와 새로운 형태의 APT가 속출하고 있어 엔드포인트 보안이 그 어느 때보다 중요한 시대이다. 알려지지 않은 위협에도 확실하게 대응하기 위해 AI 기반의 인텔리전스 플랫폼이 연계된 형태로 EDR의 고도화가 진행될 것”이라고 언급했다.
안랩 관계자는 “엔드포인트 상의 커널 레벨까지 모니터링 해야 하기 때문에 엔드포인트의 안정성이 우선시 돼야 한다”며 “국내의 경우 다양한 엔드포인트 제품들이 존재하기 때문에 구축 시 이러한 환경을 이해하고 리스크를 최소화할 수 있는 제품이어야 한다”고 밝혔다.
지니언스 관계자는 “변종이 많은 악성위협에 대해 즉각적 대응이 가능해야 하고, 관리자가 에이전트를 손쉽게 설치·적용할 수 있어야 한다”며, “이와 함께 기존 보안제품과의 통합운용 방안 등 실질적이고 구체적인 기능이 제공돼야 한다”고 강조했다.
SK인포섹 관계자는 “기존 백신이나 네트워크 APT 보안 툴로는 부족했던 엔드포인트 보안을 강화할 수 있어야 한다”며 “엔드포인트에 침투한 악성코드, 랜섬웨어의 침투경로와 각 경로마다의 이상행위 정보를 한 눈에 확인할 수 있도록 시각화해 종합적인 대응이 가능해야 한다”고 조언했다.
엔피코어는 EDR 솔루션이 갖춰야 할 기능으로 “EDR 설치 후 네트워크나 USB 등의 모든 경로를 통해 새로 유입되는 파일을 모두 탐지할 수 있어야 한다”며 “탐지 모드로 설정시 실행 중인 프로세스를 업로드해 기존에 있던 파일까지도 탐지해야 한다”고 강조했다.
특히, 중앙분석장비와 가상화 환경 등을 피해 사용자 PC까지 침투하는 신·변종 랜섬웨어, SSL 등의 암호화 통신을 통해 공격하는 악성 코드를 방어할 수 있는 정밀한 방어 능력을 꼽았다. 글로벌 보안기업 관계자는 “다양한 탐지 기술(호스트 IPS, 메모리 취약점, 행위분석, 머신러닝, 평판 등)을 통한 이벤트를 생성해야 하며, 추가적인 분석 및 대응, 엔드포인트단 설치에 따른 제품 간 충돌로 인한 시스템 문제를 고려해 단일 에이전트에서 포괄적인 기능을 제공해야 한다”고 설명했다.
이형택 이노티움 대표는 “신종 랜섬웨어와 같은 지능형 공격의 사전차단율과 2차 백업 평가의 중요성”을 강조하며, 로컬 HDD와 외부저장소 양방향 저장 기능, SFTP 프로토콜 통신기능, 암호화 백업기능의 필요성을 언급했다.
큐브피아는 엔드포인트로부터 모여진 파일, 프로세서, 네트워크 정보를 로컬 사용자와 원격 사용자로 구분해야 하며, 해커가 내부 침입에 성공했을 때 일거수 일투족을 실시간으로 탐지·추적할 수 있어야 한다고 말했다.
시스코의 경우 EDR 분야를 비롯한 엔드포인트 보안에 있어 새로운 접근방식을 언급했다. 많은 기업이 지능형 멀웨어(Advanced Malware) 공격으로부터 모바일 사용자, 데스크톱, 랩톱, 서버를 보호하는데 어려움을 겪고 있다며 대부분 기업이 과거 솔루션에 의존해 현존하는 멀웨어를 방어하는 비효율적인 보호 전략에 치중하고 있다고 지적했다.
또한, 일부 기업은 새로운 위협 대응을 위해 엔드포인트단에 추가 제품을 설치함으로써 보안환경이 더욱 복잡해지고 있다고 우려했다. 특히, 기업 환경에서 위협 탐지는 평균 100일 이상 걸리기 때문에 엔드포인트 보안은 새로운 접근 방식이 필요하다고 조언했다.
국내에 출시된 EDR 솔루션
알약 EDR, 위협 대응의 새로운 대안
[이미지=알약]
EDR(Endpoint Detection and Response)은 최근 국내외 보안업계에서 주목받는 개념으로, 엔드포인트 영역에서 진화된 공격 양상을 보이는 악성코드와 지능형지속위협(APT)을 지속적으로 모니터링하고 실질적인 대응을 제공하는 것에 목적이 있다.
올해 4월 출시한 ‘알약 EDRʼ은 기존 국내 사용자 수 1위 백신 프로그램 ‘알약ʼ과 위협 인텔리전스 ‘쓰렛 인사이드(Threat Inside)ʼ를 완벽 연동한 제품으로, 현재 증가하고 있는 고도화된 보안 위협에 대응해 차세대 엔드포인트 보안 체계의 필수 요소를 갖춘 확장된 솔루션을 제공하는 것이 특징이다. 특히, 이스트시큐리티는 지난 10월 2일 진행된 ‘시큐리티 어워드 코리아 2019ʼ에서 EDR 부문 솔루션 대상을 수상함으로써 EDR 분야의 대표주자라는 점을 입증했다.
이스트시큐리티가 제공하는 3단계 엔드포인트 위협 대응 체계는 조직 내에 악성 파일이 유포될 경우 백신 알약이 알려진 악성 파일을 탐지 및 제거하고, 알약 EDR이 알려지지 않은 위협의 악성행위를 선차단하게 된다. 동시에 쓰렛 인사이드의 상세 위협 분석을 통해 엔드포인트 영역의 잠재 위협까지 사전에 방어한다.
실제로 알약 EDR을 도입한 고객사의 보안담당자는 도입을 결정할 수 있었던 주요 요인으로 ‘신종 악성코드의 숙주와 위협의 식별, 완전 제거, 관리자 리소스 최소화를 용이하게 해주는 자동화된 대응 프로세스’를 꼽았다.
알약 EDR은 지속적인 모니터링을 통해 알려지지 않은 ①위협 의심행위의 선차단 ②직관적인 위협 흐름도 제공 ③인텔리전스 기반 위협 상세 분석 ④네트워크 차단, 프로세스 종료 등의 즉각적인 보안정책 적용으로, 보안관리자가 위협 행위에 대해 실효적인 대응을 할 수 있도록 지원한다. 이밖에도 단일 에이전트를 기반으로 ‘알약’, ‘알약 패치관리(PMS)’, ‘알약 내PC 지키미’ 등 기존 알약 제품군과 통합관리가 가능하기 때문에 알약 제품군을 사용중인 기업은 알약 EDR 도입 시 더 큰 시너지를 발휘할 수 있다.
안랩 EDR, 더 많은 위협 정보를 더 알기 쉽게
[이미지=안랩]
‘안랩 EDR’은 엔드포인트 영역에 대한 지속적인 모니터링을 통해 잠재된 위협까지 탐지하고 대응하는 차세대 엔드포인트 위협 탐지·대응 솔루션이다. 안랩의 독자적인 행위분석엔진을 이용해 엔드포인트에서 발생하는 모든 행위 정보를 EDR 서버로 전송하고, 악성 파일의 유입 경로와 연관 관계 등을 분석해 위협에 대한 직관적인 가시성을 제공한다.
안랩 EDR은 보안 관리자의 관점에서 더 많은 위협정보를 더욱 직관적으로 제공하는데 초점을 맞췄다. 우선, 악성으로 확인된 위협이 탐지되면 트리 구조로 제공되는 연관관계 다이어그램에서 상세한 정보를 손쉽게 파악할 수 있다. 보안 관리자가 자세한 내용을 확인하고 싶은 부분에 마우스 커서를 가져가면 상세한 정보가 팝업으로 나타난다.
이와 함께 악성과 유사한 행위를 하는 주요 감시 대상 프로세스를 별도로 분류하고, 상세한 정보를 제공한다. ‘악성 유사 행위’란 랜섬웨어로 의심되는 행위를 비롯해 시스템 설정을 변경하는 행위나 인젝션, 네트워크 및 C&C서버 접속 행위, 파일리스 방식의 의심 행위 등이다. 감시 대상인 행위가 탐지되면 시간, 파일, 감시 행위 유형 등의 카테고리로 구분해 손쉽게 확인할 수 있게 해준다.
또한, 안랩 EDR은 차세대 엔드포인트 보안 플랫폼인 안랩 EPP(AhnLab EPP)를 기반으로 안랩의 다양한 엔드포인트 보안 솔루션과의 유기적인 연계가 가능하다. 안랩 EPP의 단일 관리 콘솔(Single Management Console)을 통해 V3 제품과 안랩 EDR은 물론, 패치 관리 솔루션, 취약 시스템 점검 및 조치(AhnLab ESA), 개인정보 유출 방지 솔루션을 손쉽게 연동할 수 있으며, 연계 정책을 설정해 위협 정보를 다각도로 수집, 분석하고 효율적으로 대응할 수 있다.
또, 안랩 EPP의 단일 에이전트 체계를 기반으로, 엔드포인트 시스템에 별도의 에이전트를 추가로 설치하지 않아도 다수의 보안 솔루션 운영이 가능하다. 이로써 고객사는 EDR 솔루션 도입에 따른 PC 성능 영향 이슈 및 관리 포인트 증가 부담을 대폭 줄일 수 있다. 이 밖에도 보안관리자의 판단에 따라 ‘알려지지 않음(Unknown)’으로 분류된 로그의 프로세스 정보에 대해 추가 분석을 의뢰하는 ‘온디멘드 검사’ 등 기업의 능동적인 위협 대응을 위한 다양한 기능을 제공한다.
지니언스, EDR로 차세대 보안 패러다임 입지 강화
[이미지=지니언스]
통합 보안 플랫폼 기업 지니언스가 올 한해 보안시장을 뜨겁게 달구고 있는 EDR(Endpoint Detection & Response) 분야에서 발빠르게 시장을 선점하고 있다. 지난 2016년 국내 최초로 EDR 기술을 개발한 이래 40여개의 국내 고객을 확보했으며 보안의 중요성이 상대적으로 높은 금융권과 공공분야에서 가시적인 성과를 기록하고 있는 것이다.
특히, 금융권에서는 은행, 보험, 증권, 투자신탁, 저축은행 등 10여곳의 다양한 분야의 고객을 확보했다. 2019년 국내 금융권 첫 EDR 구축 사업인 미래에셋생명보험의 ‘행위기반 분석시스템 구축’ 사업을 수주했다.
지니언스의 EDR 솔루션인 ‘지니안 인사이츠 E’는 차세대 기업용 단말 보안 솔루션으로 사용자 및 PC 내부의 행위를 모니터링해 위협을 탐지할 수 있는 제품이다. 사용자 단말의 가시성을 확보하고 이를 통해 위협의 탐지, 조사 대응이 가능함은 물론 침해사고 지표, 머신러닝, 행위기반 위협탐지, 야라(YARA) 등의 다양한 기술이 적용돼 알려지지 않은 모든 공격까지 탐지하고 대응할 수 있다.
과거 네트워크 위주의 정보보안 투자가 지속됐으나 보안사고는 여전히 증가하고 있다. 특히, 랜섬웨어 등 단말 및 사람과 연관된 보안사고는 사회적으로 큰 문제로 대두되고 있다. ‘지니안 인사이츠 E’는 전통적인 보안 솔루션의 한계를 극복하는 솔루션으로, 최근 기승을 부리는 지능형 공격, 랜섬웨어 등의 고도화된 공격 위협을 탐지하고, 공격의 징후, 공격의 진행 등을 추적할 수 있어 차세대 보안 제품으로 각광을 받고 있다.
이동범 지니언스 대표이사는 “엔드포인트 보안의 패러다임이 과거에는 솔루션과 방에 중심에서 최근에는 관리와 대응으로 변화하고 있다”며 “EDR이 글로벌하게 큰 각광을 받고 있고 보안의 새로운 패러다임으로 그 중요성이 어느 때 보다 중요한 시점”이라고 밝혔다.
카본블랙, EDR 무엇을 어떻게 할 것인가?
[이미지=카본블랙]
보안담당자가 생각하는 것 보다 EDR 운영이 어렵지 않다. 또한 전문성이 확보돼 있지 않다 해도 EDR이 필요하다. 공격이 발생하기 전에 탐지하고, 공격 발생 후 사고조사에 소요되는 시간을 크게 줄일 수 있기 때문이다.
차세대 백신, 포렌식, 그리고 EDR은 어떻게 다른가? 카본블랙은 APT 공격, 랜섬웨어 등 알려지지 않은 공격에 대해 행위기반으로 탐지하고 차단하는 EDR 솔루션으로 패턴기반 탐지 한계를 뛰어넘는 엔드포인트와 인프라 보안 솔루션이다. 카본블랙 제품은 ①차세대 백신+EDR 통합 솔루션 ‘디펜스(Defense)’ ②엔드포인트 침해 대응(IR) 솔루션 ‘리스폰스(Response)’ ③화이트리스트 기반 애플리케이션 제어 ‘프로텍션(Protection)’으로 구성된다.
차세대 백신에 EDR 기능이 추가된 디펜스는 여러 엔드포인트 보안기능을 하나의 에이전트로 통합해 관리할 수 있다. 클라우드 기반으로 제공돼 별도의 서버를 설치하거나 관리할 필요가 없으며, 빠르고 손쉬운 보안 환경을 구축할 수 있다.
엔드포인트 침해대응 전문솔루션 리스폰스는 엔드포인트에서 발생하는 모든 위협 행위를 실시간으로 탐지한다. 보안관리자가 신속하게 대응할 수 있도록 사이버 킬체인을 시각화해 공격 경로를 파악을 지원한다. EDR 제품 중에서 전문 포렌식 분석 수준의 데이터와 기능을 보유하고 있으며, 침해사고가 발생한 PC에 대해 웹 관리자 화면에서 즉시 호스트 격리기능까지 제공한다.
화이트리스트 기반 애플리케이션 제어 솔루션인 ‘프로텍션’은 승인되지 않는 애플리케이션 실행을 차단한다. 악의적인 공격이나 사용자가 임의로 소프트웨어, 스크립트, 프로그램 사용을 차단한다. POS, ATM, MES, 의료기기 등 미션 크리티컬 서비스가 제공되는 서버의 임의 변경을 차단할 수 있다. 또한 서버에 임의로 USB 등과 같은 매체 제어 기능을 통해 사용자의 정보유출 및 사용을 제어할 수 있다.
‘시큐리티 어워드 코리아 2019ʼ EDR 부문 솔루션 대상 ‘이스트시큐리티’의 EDR 분석
엔드포인트 위협 대응의 새로운 대안, 알약 EDR
▲‘시큐리티 어워드 코리아 2019’ EDR 부문 솔루션 대상을 수상한 이스트시큐리티
[사진=시큐리티어워드코리아조직위원회]
사이버 보안의 대상에 대한 인식이 변화했다. 신·변종 악성코드, 랜섬웨어와 지능형 지속위협(APT) 공격의 범람과 함께 공격자의 최종 목표인 엔드포인트의 보안 강화에 대한 요구가 많아졌다. 그 과정에서 전통적인 보안 솔루션의 한계를 극복하고 고도화
된 엔드포인트 위협을 예측-예방-대응-탐지하는 ‘EDR(Endpoint Detection and Response)’이라는 개념이 등장했다.
EDR, 그러나 왜 아직인가?
1. 평판 분석의 한계
2018년도 AV-TEST 통계를 살펴보면, 전체 악성코드 중 알려진 위협은 84%, 알려지지 않은 위협은 16%로 나타난다. 물론 알려지지 않은 위협을 탐지·차단하는 것도 중요하지만 알려진 위협을 차단하는 것은 기본이 돼야 한다. 현재 시장에 나와 있는 독립형 EDR 솔루션은 알려진 위협을 차단할 엔진이 없거나, 안티바이러스 제품을 병행해 사용해야 한다. 평판 조회 서비스를 별도로 이용하더라도 실시간 악성코드 샘플이 존재하지 않는 경우가 다반사이며, 탐지결과 확인을 위해서는 원본 샘플을 등록해 공개적으로 공유해야 하는 일이 빈번하다.
2. 드라이버 문제
커널 레벨이 아닌 유저 레벨만 지원하는 독립형 EDR 제품들은 위협 모니터링과 복구를 위해 별도 드라이버를 설치해야 하기 때문에 드라이버 충돌 및 중복에 대한 이슈가 계속해서 존재한다.
3. 에이전트, 관리콘솔의 중복
알려진 위협의 차단에는 안티바이러스 기능이 필수적으로 필요하다. 하지만 안티바이러스 제품과 완벽히 연동되지 않는 EDR 제품은 사용자 PC단에 설치되는 에이전트도 2개, 보안관리자가 모니터링해야 하는 관리콘솔도 2개가 될 수밖에 없다. 즉, 보안관리자의 리소스 문제가 따라오게 되어 비효율적인 자원 낭비가 발생하게 된다.
4. 과도한 관리 리소스
독립형 EDR의 경우 악성코드의 행위들을 차단하기보다 각각의 행위를 다른 이벤트로 탐지하면서 모든 이벤트들을 하나씩 검토하고, 하나씩 차단 정책에 반영해야 하는 보안관리자의 작업을 요구한다. 게다가 의심행위를 차단하더라도 정확한 위협 판단 없이는 숙주파일을 탐지하지 못해 계속해서 보안 알림이 울려 부득이하게 수백대의 PC를 포맷한 사례도 있다. 결국 보안관리자는 오탐·과탐의 문제를 떠안고, 위협 흐름도를 보고 의심되는 행위를 분석해서 대응해야 하는 반복적인 업무를 계속할 수 밖에 없었다.
EDR의 필수요소 - 위협 인텔리전스와 결합한 알약 EDR
모든 엔드포인트의 실질적인 보안위협은 엔드포인트의 악성코드로부터 발생하기 때문에 각종 악성코드를 식별하고 분류하는 것이 차세대 엔드포인트 보안의 핵심이다. EDR에 위협 인텔리전스가 필요한 이유다.
▲알약 EDR 위협 흐름도[이미지=이스트시큐리티]
1. 알약 EDR은 알려진 위협과 알려지지 않은 위협 모두를 탐지·차단한다.
자체 탐지 엔진인 ‘테라 엔진’을 기반으로 구동되기 때문에 과탐·오탐을 최소화하는 정책 운영이 가능하며, 추가적인 평판분석 정보를 제공하여 알려진 위협을 빈틈없이 탐지한다.
2. 알약 EDR은 안정적인 커널 레벨 드라이버를 사용한다.
커널 레벨 기술을 통해 구현된 행위 기반 감시, 랜섬웨어 차단 기능으로 유저 레벨 및 훅 기반의 차단 기술보다 더 강력하고 효율적인 의심 행위 차단이 가능하다. 또한, 자체 행위 정보 수집 기술로 파일, 프로세스, 레지스트리, 네트워크 등의 위협 정보를 안정적으로 수집해 엔드포인트 가시성을 제공한다.
▲알약 EDR 위협 식별 결과[자료=이스트시큐리티]
3. 알약 EDR은 통합 에이전트, 통합 관리 콘솔을 지원한다.
단일 에이전트를 기반으로 ‘알약’, ‘알약 패치관리(PMS)’, ‘알약 내PC지키미’ 등 기존 알약 제품군과 통합 관리가 가능하기 때문에 사용자 PC의 리소스 최소화뿐만 아니라 보안관리자의 효율적인 운영이 가능해진다.
4. 알약 EDR은 선 조치-후 보고로관리 리소스를 최소화한다.
알약 EDR은 탐지되는 알려지지 않은 위협의 레벨을 악성-의심-주의로 세분화해 차단 및 대응하고 있다. 주의 레벨의 일반적이지 않은 행위는 정책에 따라 차단 또는 허용하고, 의심 행위는 실행을 지연시킨 후 상세 분석 결과를 통해 판단이 가능하도록 한다. 기존 EDR 솔루션과 달리, 알약 EDR은 확실한 악성 행위에 대해 사전 차단 후 리포트를 제공하여 보다 효율적인 대응이 가능하다.
알약 EDR은 매니지먼트 콘솔, 자사의 인텔리전스 서비스인 ‘쓰렛 인사이드(Threat Inside)’의 분석 체계가 유기적으로 결합되어 있다. 사용자 PC에는 통합 에이전트가 설치되어 필요한 이벤트 로그를 전송하며, 의심 또는 악성 행위가 발생했을 때 해당 파일의 실행을 정책에 따라 지연 또는 차단한다.
무엇보다 알약 EDR은 이스트시큐리티가 10년 이상 엔드포인트 보안 사업을 전개하며 키워온 보안 노하우를 집약시킨 제품으로, 1,600만 사용자를 확보하고 있는 국민 백신 알약이 탐지한 연간 약 1억건 이상의 악성코드와 분기별 130만건 이상의 랜섬웨어 샘플를 통해 축적해온 악성코드 데이터베이스와 위협 대응 전문 노하우를 기반으로 개발됐다.
특히, 경보 피로 및 신뢰할 만한 위협 인텔리전스 부족 등 기존 EDR 제품의 한계를 자사 위협 인텔리전스 서비스 쓰렛 인사이드와 완벽히 연동해 해결하고, 기업에 보다 실효적인 보안 대응 가이드를 제시하는데 초점을 맞춘 제품이다.
[원병철 기자(boanone@boannews.com)]
EDR 개념에서부터 특장점, 솔루션, 그리고 활용사례까지
EDR 대표주자 이스트시큐리티, ‘시큐리티 어워드 코리아 2019’ EDR 부문 솔루션 대상
[보안뉴스 원병철 기자] 엔드포인트 보안의 새로운 대안으로 떠오르며 2015~2016년 화려하게 등장한 EDR(Endpoint Detection&Response). 특히, 2016년 RSA에서 EDR 붐이 크게 불고난 후 국내에서도 많은 EDR 제품이 등장했다. 하지만 너무나 빠른 등장이었을까?
EDR은 처음 분위기와는 달리 국내 시장에서는 크게 환영받지 못했다. 이미 자리를 굳건하게 잡고 있던 엔드포인트 솔루션과 EDR의 차이점을 이해하지 못한 사용자들, EDR에 대한 접근법이 달라 기업별로 서로 다른 제품들 등 시장에서 매끄럽게 자리잡지 못했기 때문이다. 하지만 시대의 변화에 적응하기 위해 만들어진 제품인 만큼 EDR은 2018년과 2019년부터 조금씩 시장을 형성하기 시작했다.
[사진=dreamstime]
EDR은 이름 그대로 ‘엔드포인트(Endpoint)’의 보안위협을 ‘탐지(Detection)’하고 ‘대응(Response)’하는 제품이다. 우리가 흔히 사용하는 ‘PC’ 혹은 ‘서버’와 ‘모바일’, ‘IoT’가 바로 엔드포인트 제품이다.
엔드포인트는 우리가 사용하는 가장 마지막 단계이기 때문에 보안에 있어서도 매우 중요한 포지션을 차지하고 있다. 특히, 최근 랜섬웨어나 피싱 등 엔드포인트를 노리는 사이버공격이 증가하면서 그 중요성이 더욱 부각되고 있다. 물론 엔드포인트를 위한 보안제품은 이미 존재한다. 우리가 흔히 ‘백신’이라고 부르는 ‘안티 바이러스’ 제품이나 ‘랜섬웨어’에 특화된 ‘안티 랜섬웨어’, 그리고 APT 공격을 방어하기 위한 ‘APT 솔루션’ 등이 그것. 그럼에도 불구하고 EDR이 등장한 이유는 뭘까? 그리고 다양한 엔드포인트 솔루션 사이에서 EDR이 선택받을 수 있는 이유는 무엇일까?
알려지지 않은 보안위협의 증대 해결책은 EDR
다양한 엔드포인트 솔루션이 있음에도 EDR이 등장한 이유는 바로 ‘언노운(Unknown)’ 즉, ‘알 수 없는 위협’ 때문이다. 백신과 안티 랜섬웨어, 그리고 APT 솔루션은 그 목적이 명확하다. 바이러스 혹은 악성코드가 엔드포인트를 공격하는 것을 방어하거나(백신), 랜섬웨어 공격으로부터 엔드포인트를 보호하는 것(안티 랜섬웨어), 혹은 APT 공격에 대응하는 것(APT 솔루션)이 주목적인 것이다.
문제는 사이버공격 역시 진화하거나 제로데이 취약점(알려지지 않은 취약점. 알려지지 않았기 때문에 해결할 수 있는 방법이 없어 공격을 받으면 속수무책이며, 심지어 언제·어떤 공격을 했는지도 알 수 없다) 등으로 인해 기존 보안 솔루션들이 놓치는 공격이 있다는 점이다. 특히, 제로데이 취약점을 이용해 엔드포인트에 바이러스 등이 침입하고 공격의 때를 기다리며 움직이지 않을 경우 기존 솔루션으로는 알 수 있는 방법이 없다. 게다가 보안기업들이 AI 혹은 머신러닝 등 첨단기술을 바탕으로 보안 솔루션을 만드는 것처럼 공격자들 역시 이러한 첨단기술을 활용해 공격하고 있다. ‘적대적 머신러닝(Adversarial Machine Learning)’을 토대로 새로운 방어기법들을 우회하는 공격을 감행하고 있다는 것이다.
실제로 이글루시큐리티는 ‘적응형 학습’을 토대로 시그니처 기반의 탐지를 우회하는 자동화된 공격이 급격히 증가할 것으로 전망했으며, 카스퍼스키랩은 2019년 1분기 모바일 뱅킹 악성코드가 58% 증가하고, 2018년 상반기 IoT 기기를 노린 악성코드 변종이 무려 12만 종이 넘었다고 발표한 바 있다.
제로데이 취약점을 이용한 공격이나 방어기법을 우회하는 공격, 혹은 방어하는 솔루션이 잘 모르는 ‘신종’ 혹은 ‘변종’ 악성코드를 사용한 공격은 기존 솔루션들이 방어하기 어렵다. ‘공격’임을 알아야 ‘방어’를 할 텐데, 이게 공격인지 모른다면 방어 자체를 하지 않기 때문이다. 상대방이 ‘적’인 것을 확인해야 그에 따른 방어 혹은 대응을 할 수 있다는 얘기다. 이로 인해 보안기업들은 공격에 사용되는 ‘바이러스’ 혹은 ‘취약점’의 존재를 확인하고, 이 정보를 업데이트 등을 통해 자사의 보안 솔루션에 학습시킨다. 많이 사용하는 PC용 안티바이러스 제품이 PC를 켤 때마다 업데이트 하는 이유는 바로 이 때문이다.
그럼에도 불구하고 엔드포인트 보안 솔루션들은 이미 발생한, 혹은 이미 공격을 시작한 ‘위협’에 대응하기 위한 제품이기 때문에 ‘사전적’ 대응을 하기란 쉽지 않다. 특히, 앞서 설명한 ‘제로데이’ 혹은 신·변종 악성코드와 같은 ‘알려지지 않은(Unknown)’ 위협에는 대응하기 어렵다.
EDR은 이러한 알려지지 않은 위협들에 대응하기 위해 만들어진 제품이다. 아울러 단순히 위협을 찾아내는데 그치지 않고, 찾아낸 정보를 ‘가시적’으로 보여줘 사용자가 능동적으로 대처할 수 있도록 도와준다.
이 때문에 EDR은 백신과 같은 B2C 제품이 아닌 기업이나 기관에서 사용하는 B2B 제품이다. EDR이 탐지해낸 알려지지 않은 위협을 기업이나 기관의 보안담당자에게 알려줘 대응할 수 있도록 한다. 황상복 이스트시큐리티 부장은 “EDR은 백신처럼 문제를 스스로 해결해주는 것이 아닌 문제가 될 수 있는 것을 찾아 보안담당자에게 알려줘 대처할 수 있도록 돕는 솔루션이다. 이에 따라 현재 EDR은 최소한의 분석을 통해 보안정책을 만들 수 있는 보안팀을 갖춘 기업이나 기관만이 EDR을 사용할 수 있다”고 설명한다.
2015년 태동부터 2018년 본격 제품 출시까지
EDR은 RSA 2016에서 소개되며 주목받기 시작했다. 미국의 2016년 EDR 시장은 6억달러 이상으로 집계됐고, 글로벌 시장조사기관 가트너는 2015년부터 2020년까지 연평균복합성장률(CAGR)을 45.27%로 추산, 약 15억달러 규모로 예상하고 있어 향후 성장에 대한 기대감도 큰 상태다.
국내에서는 2018년을 기점으로 조금씩 EDR을 도입하는 기업과 기관이 늘고 있다. 이제 시작하는 만큼 정확한 시장규모를 산출하기는 어렵지만, 업계에서는 2018년과 2019년 상반기동안 100~150여개의 기업과 기관이 EDR을 도입했거나 도입을 계획하고 있는 것으로 보고 있다. 이에 보안기업에서도 저마다 장점을 갖춘 EDR 솔루션으로 중무장한 채 시장 선점에 나서고 있다. 현재 국내업체로는 SK인포섹, 지니언스, 안랩, 이스트시큐리티, 엔피코어, 이노티움, 큐브피아, 하우리 등이, 해외업체는 블랙카본, 사이버리즌, 아카마이, 시스코 등이 시장에 뛰어든 상태다.
우선 국내 최대 정보보호기업 SK인포섹은 EDR 솔루션으로 메모리 포렌식 기반의 DDNA 엔진을 이용한 ETP 솔루션(Countertack ETP)을 내놓았으며, 지니언스는 지난해 이미 EDR 제품으로 ‘지니안 인사이츠 E’를 선보였다. 또한 SK인포섹은 지니언스와 총판계약을 맺고 지니안 인사이트 E를 시장에 공급하고 있다.
안랩 EDR은 지난 30년간 축적된 안랩의 악성코드 분석 기술과 엔드포인트 보안 대응 경험이 집약된 차세대 엔드포인트 보안 솔루션이다. 이스트시큐리티의 알약 EDR은 백신 프로그램 ‘알약’과 EDR, 악성코드 위협 대응 솔루션 ‘쓰렛 인사이드(Threat Inside)’를 연동해 차세대 엔드포인트 보안 체계를 제공하는 것이 특징이다. 또한, 엔피코어는 최근 엔드포인트용 보안 제품 4가지로 PC에서의 APT 공격을 방어하기 위한 좀비제로 EDR for APT 서버에서의 APT 공격을 방어하는 좀비제로 EDR for 서버, PC에서 랜섬웨어를 방어하는 좀비제로 EDR for 랜섬웨어, 서비스로서의 보안 클라우드 방식으로 랜섬웨어로부터 PC를 방어하는 좀비제로 SECaaS(Security as a Service)를 새롭게 출시했다.
이노티움의 경우 EDR 기반으로 실시간 소프트웨어 인증기술과 행위분석 기술을 개발해 실시간 암호화 보안백업 기술과 융합한 ‘랜섬크런처(Ransom Cruncher Algorithm)’ 플랫폼을 리자드 클라우드, 발자국, 리자드백업 제품에 탑재했다. 큐브피아는 엔드포인트로부터 각각의 파일, 프로세서, 네트워크에 대해 동시 모니터링하는 방식인 ‘권가 비헤이비어 모니터링 솔루션(KWON-GA Bahevior Monitoring Solution)’을 제공하고 있다. 하우리는 사용자의 모니터와 행위를 차단하는 EDR 기반의 안티 랜섬웨어 솔루션인 ‘하우리 스마트센서(HAURI Smart Sensor)’를 내놓았다.
EDR의 핵심은 ‘가시성’, 보안담당자가 쉽게 사용할 수 있어야 한다
이렇듯 보안업계는 저마다 주요 기술을 탑재해 올해 활발한 행보를 이어갈 것으로 전망된다. 이는 APT와 랜섬웨어 공격에 대응하기 위한 기존 솔루션에 진일보한 기술 개발과 기능 강화를 통해 EDR 분야 시장 경쟁에 적극 나서겠다는 전략으로 풀이된다.
안랩은 EDR에서 수집된 많은 데이터를 효율적으로 저장·분석하기 위해 데이터를 병렬 분산 처리할 수 있는 빅데이터 기반의 플랫폼을 개발, 안랩 EDR과 함께 출시했다. 엔드포인트 보안 플랫폼 안랩 EPP는 단순히 EDR만을 위한 관리 솔루션은 아니다. 안랩 EPP는 EDR은 물론, V3 제품, 안랩 패치 매니지먼트(AhnLab Patch Management), 안랩 프라이버시 매니지먼트(AhnLab Privacy Management), 안랩 내PC지키미 등 다양한 안랩의 엔드포인트 보안 솔루션을 단일 관리 콘솔을 통해 효율적으로 운영할 수 있는 플랫폼이다. 다수의 엔드포인트 보안 솔루션의 연계를 통해 유연한 보안 관리와 더욱 강력한 위협 대응을 제공한다.
이스트시큐리티는 10년 이상 엔드포인트 보안 사업을 전개하며 키워온 보안 노하우를 집약시킨 제품이 바로 ‘알약 EDR’이라면서, 국민 백신 알약의 1,600만 사용자를 통해 축적해온 악성코드 데이터베이스와 위협 대응 전문 노하우를 기반으로 개발됐다고 강조했다. 아울러 기존 EDR 제품의 한계를 해결하고, 기업에 보다 실효적인 보안 대응 가이드를 제시하는데 초점을 맞췄다고 밝혔다.
지니언스는 ‘지니안 인사이츠 E(Genian Insigths E)’에 머신러닝 기반 악성코드 탐지기술을 탑재했다. 다단계 탐지를 통해 EDR의 악성코드 탐지 기능을 확대해 최신 위협 대응을 위한 지능형 EDR 솔루션 도입을 원하는 고객을 적극 발굴하겠다는 전략이다. 실제로 지니언스는 제품 출시후 3년간 45개의 기업 및 기관에 EDR 솔루션을 납품한 것으로알려졌다.
SK인포섹은 EDR 기술 기반으로 향후 APT 공격에 대응하기 위한 솔루션 공급에 주력하는 한편, 보안관제 노하우를 바탕으로 네트워크에서 엔드포인트 솔루션에 대한 모니터링 중심으로 서비스를 강화할 방침이다. 삼성SDS는 삼성벤처투자펀드를 통해 EDR을 보유한 미국 센티넬원(SentinelOne)에 투자했다고 밝혔다. 센티넬원 EDR 솔루션은 인공지능(AI)-머신러닝 기술로 다양한 악성코드 유형을 학습해 신종·변종 악성코드와 해킹 공격을 차단해 준다. 또한, 해킹 공격이 감지되자마자 침입 경로 로그파일을 분석해 해킹 취약 경로를 막아 추가 피해가 없도록 해준다. 특히, 랜섬웨어 공격 시 EDR 솔루션이 탐지 즉시 랜섬웨어를 삭제해 무력화시키고, 피해를 입은 파일들은 미리 백업한 데이터로 복원시켜 준다.
엔피코어는 본격적인 APT 대응 시장 성장에 힘입어 실질적인 매출 성장이 40% 증가했다고 밝혔다. 이에 따라 제품의 경쟁력 강화를 위해 제품 기능과 기술개발에 박차를 가하겠다는 전략이다. 리얼머신 기반 행위분석 기술을 개발하고, EDR 제품군의 백업기능 고도화, Mac/Linux 지원, 머신러닝 기반의 분석기술 개발, 자체 가상화 플랫폼 개발 등에 주력할 예정이다. 또한, 국제 CC인증을 획득해 미국, 일본, 동남아, 중동 등 해외 시장에 적극 나서는 한편, 국내의 경우 공공기관에 주력한다는 방침이다.
세이퍼존은 18년간 지속적인 연구·개발 및 판매를 통해 국내 최초로 ‘멀티OS용 엔드포인트 통합 탐지·대응 솔루션’ 포트폴리오를 완성했다고 강조했다. 세이퍼존은 18년간 국내 시장에서 검증한 기술로 엔드포인트 보안에 필요한 10개 소프트웨어를 하나의 에이전트로 통합하는 데 성공했다면서, 세이퍼존 제품 하나로 복잡한 보안 에이전트 설치·관리와 엔드포인트 보안을 해결할 수 있을 것이 라고 밝혔다.
EDR 업체가 꼽는 ‘EDR의 핵심기술’
이처럼 EDR 제품은 엔드포인트에서 발생하는 모든 위협에 대응 가능하다고 기대를 모으고 있는 만큼 기술력과 함께 다양한 기능이 무엇보다 중요하다. 그렇다면 이용자 측면에서 옥석 가리기를 위해 EDR 솔루션이 꼭 갖춰야 할 기능은 무엇일까? 김준섭 이스트시큐리티 부사장은 “신·변종 랜섬웨어와 새로운 형태의 APT가 속출하고 있어 엔드포인트 보안이 그 어느 때보다 중요한 시대이다. 알려지지 않은 위협에도 확실하게 대응하기 위해 AI 기반의 인텔리전스 플랫폼이 연계된 형태로 EDR의 고도화가 진행될 것”이라고 언급했다.
안랩 관계자는 “엔드포인트 상의 커널 레벨까지 모니터링 해야 하기 때문에 엔드포인트의 안정성이 우선시 돼야 한다”며 “국내의 경우 다양한 엔드포인트 제품들이 존재하기 때문에 구축 시 이러한 환경을 이해하고 리스크를 최소화할 수 있는 제품이어야 한다”고 밝혔다.
지니언스 관계자는 “변종이 많은 악성위협에 대해 즉각적 대응이 가능해야 하고, 관리자가 에이전트를 손쉽게 설치·적용할 수 있어야 한다”며, “이와 함께 기존 보안제품과의 통합운용 방안 등 실질적이고 구체적인 기능이 제공돼야 한다”고 강조했다.
SK인포섹 관계자는 “기존 백신이나 네트워크 APT 보안 툴로는 부족했던 엔드포인트 보안을 강화할 수 있어야 한다”며 “엔드포인트에 침투한 악성코드, 랜섬웨어의 침투경로와 각 경로마다의 이상행위 정보를 한 눈에 확인할 수 있도록 시각화해 종합적인 대응이 가능해야 한다”고 조언했다.
엔피코어는 EDR 솔루션이 갖춰야 할 기능으로 “EDR 설치 후 네트워크나 USB 등의 모든 경로를 통해 새로 유입되는 파일을 모두 탐지할 수 있어야 한다”며 “탐지 모드로 설정시 실행 중인 프로세스를 업로드해 기존에 있던 파일까지도 탐지해야 한다”고 강조했다.
특히, 중앙분석장비와 가상화 환경 등을 피해 사용자 PC까지 침투하는 신·변종 랜섬웨어, SSL 등의 암호화 통신을 통해 공격하는 악성 코드를 방어할 수 있는 정밀한 방어 능력을 꼽았다. 글로벌 보안기업 관계자는 “다양한 탐지 기술(호스트 IPS, 메모리 취약점, 행위분석, 머신러닝, 평판 등)을 통한 이벤트를 생성해야 하며, 추가적인 분석 및 대응, 엔드포인트단 설치에 따른 제품 간 충돌로 인한 시스템 문제를 고려해 단일 에이전트에서 포괄적인 기능을 제공해야 한다”고 설명했다.
이형택 이노티움 대표는 “신종 랜섬웨어와 같은 지능형 공격의 사전차단율과 2차 백업 평가의 중요성”을 강조하며, 로컬 HDD와 외부저장소 양방향 저장 기능, SFTP 프로토콜 통신기능, 암호화 백업기능의 필요성을 언급했다.
큐브피아는 엔드포인트로부터 모여진 파일, 프로세서, 네트워크 정보를 로컬 사용자와 원격 사용자로 구분해야 하며, 해커가 내부 침입에 성공했을 때 일거수 일투족을 실시간으로 탐지·추적할 수 있어야 한다고 말했다.
시스코의 경우 EDR 분야를 비롯한 엔드포인트 보안에 있어 새로운 접근방식을 언급했다. 많은 기업이 지능형 멀웨어(Advanced Malware) 공격으로부터 모바일 사용자, 데스크톱, 랩톱, 서버를 보호하는데 어려움을 겪고 있다며 대부분 기업이 과거 솔루션에 의존해 현존하는 멀웨어를 방어하는 비효율적인 보호 전략에 치중하고 있다고 지적했다.
또한, 일부 기업은 새로운 위협 대응을 위해 엔드포인트단에 추가 제품을 설치함으로써 보안환경이 더욱 복잡해지고 있다고 우려했다. 특히, 기업 환경에서 위협 탐지는 평균 100일 이상 걸리기 때문에 엔드포인트 보안은 새로운 접근 방식이 필요하다고 조언했다.
국내에 출시된 EDR 솔루션
알약 EDR, 위협 대응의 새로운 대안
[이미지=알약]
EDR(Endpoint Detection and Response)은 최근 국내외 보안업계에서 주목받는 개념으로, 엔드포인트 영역에서 진화된 공격 양상을 보이는 악성코드와 지능형지속위협(APT)을 지속적으로 모니터링하고 실질적인 대응을 제공하는 것에 목적이 있다.
올해 4월 출시한 ‘알약 EDRʼ은 기존 국내 사용자 수 1위 백신 프로그램 ‘알약ʼ과 위협 인텔리전스 ‘쓰렛 인사이드(Threat Inside)ʼ를 완벽 연동한 제품으로, 현재 증가하고 있는 고도화된 보안 위협에 대응해 차세대 엔드포인트 보안 체계의 필수 요소를 갖춘 확장된 솔루션을 제공하는 것이 특징이다. 특히, 이스트시큐리티는 지난 10월 2일 진행된 ‘시큐리티 어워드 코리아 2019ʼ에서 EDR 부문 솔루션 대상을 수상함으로써 EDR 분야의 대표주자라는 점을 입증했다.
이스트시큐리티가 제공하는 3단계 엔드포인트 위협 대응 체계는 조직 내에 악성 파일이 유포될 경우 백신 알약이 알려진 악성 파일을 탐지 및 제거하고, 알약 EDR이 알려지지 않은 위협의 악성행위를 선차단하게 된다. 동시에 쓰렛 인사이드의 상세 위협 분석을 통해 엔드포인트 영역의 잠재 위협까지 사전에 방어한다.
실제로 알약 EDR을 도입한 고객사의 보안담당자는 도입을 결정할 수 있었던 주요 요인으로 ‘신종 악성코드의 숙주와 위협의 식별, 완전 제거, 관리자 리소스 최소화를 용이하게 해주는 자동화된 대응 프로세스’를 꼽았다.
알약 EDR은 지속적인 모니터링을 통해 알려지지 않은 ①위협 의심행위의 선차단 ②직관적인 위협 흐름도 제공 ③인텔리전스 기반 위협 상세 분석 ④네트워크 차단, 프로세스 종료 등의 즉각적인 보안정책 적용으로, 보안관리자가 위협 행위에 대해 실효적인 대응을 할 수 있도록 지원한다. 이밖에도 단일 에이전트를 기반으로 ‘알약’, ‘알약 패치관리(PMS)’, ‘알약 내PC 지키미’ 등 기존 알약 제품군과 통합관리가 가능하기 때문에 알약 제품군을 사용중인 기업은 알약 EDR 도입 시 더 큰 시너지를 발휘할 수 있다.
안랩 EDR, 더 많은 위협 정보를 더 알기 쉽게
[이미지=안랩]
‘안랩 EDR’은 엔드포인트 영역에 대한 지속적인 모니터링을 통해 잠재된 위협까지 탐지하고 대응하는 차세대 엔드포인트 위협 탐지·대응 솔루션이다. 안랩의 독자적인 행위분석엔진을 이용해 엔드포인트에서 발생하는 모든 행위 정보를 EDR 서버로 전송하고, 악성 파일의 유입 경로와 연관 관계 등을 분석해 위협에 대한 직관적인 가시성을 제공한다.
안랩 EDR은 보안 관리자의 관점에서 더 많은 위협정보를 더욱 직관적으로 제공하는데 초점을 맞췄다. 우선, 악성으로 확인된 위협이 탐지되면 트리 구조로 제공되는 연관관계 다이어그램에서 상세한 정보를 손쉽게 파악할 수 있다. 보안 관리자가 자세한 내용을 확인하고 싶은 부분에 마우스 커서를 가져가면 상세한 정보가 팝업으로 나타난다.
이와 함께 악성과 유사한 행위를 하는 주요 감시 대상 프로세스를 별도로 분류하고, 상세한 정보를 제공한다. ‘악성 유사 행위’란 랜섬웨어로 의심되는 행위를 비롯해 시스템 설정을 변경하는 행위나 인젝션, 네트워크 및 C&C서버 접속 행위, 파일리스 방식의 의심 행위 등이다. 감시 대상인 행위가 탐지되면 시간, 파일, 감시 행위 유형 등의 카테고리로 구분해 손쉽게 확인할 수 있게 해준다.
또한, 안랩 EDR은 차세대 엔드포인트 보안 플랫폼인 안랩 EPP(AhnLab EPP)를 기반으로 안랩의 다양한 엔드포인트 보안 솔루션과의 유기적인 연계가 가능하다. 안랩 EPP의 단일 관리 콘솔(Single Management Console)을 통해 V3 제품과 안랩 EDR은 물론, 패치 관리 솔루션, 취약 시스템 점검 및 조치(AhnLab ESA), 개인정보 유출 방지 솔루션을 손쉽게 연동할 수 있으며, 연계 정책을 설정해 위협 정보를 다각도로 수집, 분석하고 효율적으로 대응할 수 있다.
또, 안랩 EPP의 단일 에이전트 체계를 기반으로, 엔드포인트 시스템에 별도의 에이전트를 추가로 설치하지 않아도 다수의 보안 솔루션 운영이 가능하다. 이로써 고객사는 EDR 솔루션 도입에 따른 PC 성능 영향 이슈 및 관리 포인트 증가 부담을 대폭 줄일 수 있다. 이 밖에도 보안관리자의 판단에 따라 ‘알려지지 않음(Unknown)’으로 분류된 로그의 프로세스 정보에 대해 추가 분석을 의뢰하는 ‘온디멘드 검사’ 등 기업의 능동적인 위협 대응을 위한 다양한 기능을 제공한다.
지니언스, EDR로 차세대 보안 패러다임 입지 강화
[이미지=지니언스]
통합 보안 플랫폼 기업 지니언스가 올 한해 보안시장을 뜨겁게 달구고 있는 EDR(Endpoint Detection & Response) 분야에서 발빠르게 시장을 선점하고 있다. 지난 2016년 국내 최초로 EDR 기술을 개발한 이래 40여개의 국내 고객을 확보했으며 보안의 중요성이 상대적으로 높은 금융권과 공공분야에서 가시적인 성과를 기록하고 있는 것이다.
특히, 금융권에서는 은행, 보험, 증권, 투자신탁, 저축은행 등 10여곳의 다양한 분야의 고객을 확보했다. 2019년 국내 금융권 첫 EDR 구축 사업인 미래에셋생명보험의 ‘행위기반 분석시스템 구축’ 사업을 수주했다.
지니언스의 EDR 솔루션인 ‘지니안 인사이츠 E’는 차세대 기업용 단말 보안 솔루션으로 사용자 및 PC 내부의 행위를 모니터링해 위협을 탐지할 수 있는 제품이다. 사용자 단말의 가시성을 확보하고 이를 통해 위협의 탐지, 조사 대응이 가능함은 물론 침해사고 지표, 머신러닝, 행위기반 위협탐지, 야라(YARA) 등의 다양한 기술이 적용돼 알려지지 않은 모든 공격까지 탐지하고 대응할 수 있다.
과거 네트워크 위주의 정보보안 투자가 지속됐으나 보안사고는 여전히 증가하고 있다. 특히, 랜섬웨어 등 단말 및 사람과 연관된 보안사고는 사회적으로 큰 문제로 대두되고 있다. ‘지니안 인사이츠 E’는 전통적인 보안 솔루션의 한계를 극복하는 솔루션으로, 최근 기승을 부리는 지능형 공격, 랜섬웨어 등의 고도화된 공격 위협을 탐지하고, 공격의 징후, 공격의 진행 등을 추적할 수 있어 차세대 보안 제품으로 각광을 받고 있다.
이동범 지니언스 대표이사는 “엔드포인트 보안의 패러다임이 과거에는 솔루션과 방에 중심에서 최근에는 관리와 대응으로 변화하고 있다”며 “EDR이 글로벌하게 큰 각광을 받고 있고 보안의 새로운 패러다임으로 그 중요성이 어느 때 보다 중요한 시점”이라고 밝혔다.
카본블랙, EDR 무엇을 어떻게 할 것인가?
[이미지=카본블랙]
보안담당자가 생각하는 것 보다 EDR 운영이 어렵지 않다. 또한 전문성이 확보돼 있지 않다 해도 EDR이 필요하다. 공격이 발생하기 전에 탐지하고, 공격 발생 후 사고조사에 소요되는 시간을 크게 줄일 수 있기 때문이다.
차세대 백신, 포렌식, 그리고 EDR은 어떻게 다른가? 카본블랙은 APT 공격, 랜섬웨어 등 알려지지 않은 공격에 대해 행위기반으로 탐지하고 차단하는 EDR 솔루션으로 패턴기반 탐지 한계를 뛰어넘는 엔드포인트와 인프라 보안 솔루션이다. 카본블랙 제품은 ①차세대 백신+EDR 통합 솔루션 ‘디펜스(Defense)’ ②엔드포인트 침해 대응(IR) 솔루션 ‘리스폰스(Response)’ ③화이트리스트 기반 애플리케이션 제어 ‘프로텍션(Protection)’으로 구성된다.
차세대 백신에 EDR 기능이 추가된 디펜스는 여러 엔드포인트 보안기능을 하나의 에이전트로 통합해 관리할 수 있다. 클라우드 기반으로 제공돼 별도의 서버를 설치하거나 관리할 필요가 없으며, 빠르고 손쉬운 보안 환경을 구축할 수 있다.
엔드포인트 침해대응 전문솔루션 리스폰스는 엔드포인트에서 발생하는 모든 위협 행위를 실시간으로 탐지한다. 보안관리자가 신속하게 대응할 수 있도록 사이버 킬체인을 시각화해 공격 경로를 파악을 지원한다. EDR 제품 중에서 전문 포렌식 분석 수준의 데이터와 기능을 보유하고 있으며, 침해사고가 발생한 PC에 대해 웹 관리자 화면에서 즉시 호스트 격리기능까지 제공한다.
화이트리스트 기반 애플리케이션 제어 솔루션인 ‘프로텍션’은 승인되지 않는 애플리케이션 실행을 차단한다. 악의적인 공격이나 사용자가 임의로 소프트웨어, 스크립트, 프로그램 사용을 차단한다. POS, ATM, MES, 의료기기 등 미션 크리티컬 서비스가 제공되는 서버의 임의 변경을 차단할 수 있다. 또한 서버에 임의로 USB 등과 같은 매체 제어 기능을 통해 사용자의 정보유출 및 사용을 제어할 수 있다.
‘시큐리티 어워드 코리아 2019ʼ EDR 부문 솔루션 대상 ‘이스트시큐리티’의 EDR 분석
엔드포인트 위협 대응의 새로운 대안, 알약 EDR
▲‘시큐리티 어워드 코리아 2019’ EDR 부문 솔루션 대상을 수상한 이스트시큐리티
[사진=시큐리티어워드코리아조직위원회]
사이버 보안의 대상에 대한 인식이 변화했다. 신·변종 악성코드, 랜섬웨어와 지능형 지속위협(APT) 공격의 범람과 함께 공격자의 최종 목표인 엔드포인트의 보안 강화에 대한 요구가 많아졌다. 그 과정에서 전통적인 보안 솔루션의 한계를 극복하고 고도화
된 엔드포인트 위협을 예측-예방-대응-탐지하는 ‘EDR(Endpoint Detection and Response)’이라는 개념이 등장했다.
EDR, 그러나 왜 아직인가?
1. 평판 분석의 한계
2018년도 AV-TEST 통계를 살펴보면, 전체 악성코드 중 알려진 위협은 84%, 알려지지 않은 위협은 16%로 나타난다. 물론 알려지지 않은 위협을 탐지·차단하는 것도 중요하지만 알려진 위협을 차단하는 것은 기본이 돼야 한다. 현재 시장에 나와 있는 독립형 EDR 솔루션은 알려진 위협을 차단할 엔진이 없거나, 안티바이러스 제품을 병행해 사용해야 한다. 평판 조회 서비스를 별도로 이용하더라도 실시간 악성코드 샘플이 존재하지 않는 경우가 다반사이며, 탐지결과 확인을 위해서는 원본 샘플을 등록해 공개적으로 공유해야 하는 일이 빈번하다.
2. 드라이버 문제
커널 레벨이 아닌 유저 레벨만 지원하는 독립형 EDR 제품들은 위협 모니터링과 복구를 위해 별도 드라이버를 설치해야 하기 때문에 드라이버 충돌 및 중복에 대한 이슈가 계속해서 존재한다.
3. 에이전트, 관리콘솔의 중복
알려진 위협의 차단에는 안티바이러스 기능이 필수적으로 필요하다. 하지만 안티바이러스 제품과 완벽히 연동되지 않는 EDR 제품은 사용자 PC단에 설치되는 에이전트도 2개, 보안관리자가 모니터링해야 하는 관리콘솔도 2개가 될 수밖에 없다. 즉, 보안관리자의 리소스 문제가 따라오게 되어 비효율적인 자원 낭비가 발생하게 된다.
4. 과도한 관리 리소스
독립형 EDR의 경우 악성코드의 행위들을 차단하기보다 각각의 행위를 다른 이벤트로 탐지하면서 모든 이벤트들을 하나씩 검토하고, 하나씩 차단 정책에 반영해야 하는 보안관리자의 작업을 요구한다. 게다가 의심행위를 차단하더라도 정확한 위협 판단 없이는 숙주파일을 탐지하지 못해 계속해서 보안 알림이 울려 부득이하게 수백대의 PC를 포맷한 사례도 있다. 결국 보안관리자는 오탐·과탐의 문제를 떠안고, 위협 흐름도를 보고 의심되는 행위를 분석해서 대응해야 하는 반복적인 업무를 계속할 수 밖에 없었다.
EDR의 필수요소 - 위협 인텔리전스와 결합한 알약 EDR
모든 엔드포인트의 실질적인 보안위협은 엔드포인트의 악성코드로부터 발생하기 때문에 각종 악성코드를 식별하고 분류하는 것이 차세대 엔드포인트 보안의 핵심이다. EDR에 위협 인텔리전스가 필요한 이유다.
▲알약 EDR 위협 흐름도[이미지=이스트시큐리티]
1. 알약 EDR은 알려진 위협과 알려지지 않은 위협 모두를 탐지·차단한다.
자체 탐지 엔진인 ‘테라 엔진’을 기반으로 구동되기 때문에 과탐·오탐을 최소화하는 정책 운영이 가능하며, 추가적인 평판분석 정보를 제공하여 알려진 위협을 빈틈없이 탐지한다.
2. 알약 EDR은 안정적인 커널 레벨 드라이버를 사용한다.
커널 레벨 기술을 통해 구현된 행위 기반 감시, 랜섬웨어 차단 기능으로 유저 레벨 및 훅 기반의 차단 기술보다 더 강력하고 효율적인 의심 행위 차단이 가능하다. 또한, 자체 행위 정보 수집 기술로 파일, 프로세스, 레지스트리, 네트워크 등의 위협 정보를 안정적으로 수집해 엔드포인트 가시성을 제공한다.
▲알약 EDR 위협 식별 결과[자료=이스트시큐리티]
3. 알약 EDR은 통합 에이전트, 통합 관리 콘솔을 지원한다.
단일 에이전트를 기반으로 ‘알약’, ‘알약 패치관리(PMS)’, ‘알약 내PC지키미’ 등 기존 알약 제품군과 통합 관리가 가능하기 때문에 사용자 PC의 리소스 최소화뿐만 아니라 보안관리자의 효율적인 운영이 가능해진다.
4. 알약 EDR은 선 조치-후 보고로관리 리소스를 최소화한다.
알약 EDR은 탐지되는 알려지지 않은 위협의 레벨을 악성-의심-주의로 세분화해 차단 및 대응하고 있다. 주의 레벨의 일반적이지 않은 행위는 정책에 따라 차단 또는 허용하고, 의심 행위는 실행을 지연시킨 후 상세 분석 결과를 통해 판단이 가능하도록 한다. 기존 EDR 솔루션과 달리, 알약 EDR은 확실한 악성 행위에 대해 사전 차단 후 리포트를 제공하여 보다 효율적인 대응이 가능하다.
알약 EDR은 매니지먼트 콘솔, 자사의 인텔리전스 서비스인 ‘쓰렛 인사이드(Threat Inside)’의 분석 체계가 유기적으로 결합되어 있다. 사용자 PC에는 통합 에이전트가 설치되어 필요한 이벤트 로그를 전송하며, 의심 또는 악성 행위가 발생했을 때 해당 파일의 실행을 정책에 따라 지연 또는 차단한다.
무엇보다 알약 EDR은 이스트시큐리티가 10년 이상 엔드포인트 보안 사업을 전개하며 키워온 보안 노하우를 집약시킨 제품으로, 1,600만 사용자를 확보하고 있는 국민 백신 알약이 탐지한 연간 약 1억건 이상의 악성코드와 분기별 130만건 이상의 랜섬웨어 샘플를 통해 축적해온 악성코드 데이터베이스와 위협 대응 전문 노하우를 기반으로 개발됐다.
특히, 경보 피로 및 신뢰할 만한 위협 인텔리전스 부족 등 기존 EDR 제품의 한계를 자사 위협 인텔리전스 서비스 쓰렛 인사이드와 완벽히 연동해 해결하고, 기업에 보다 실효적인 보안 대응 가이드를 제시하는데 초점을 맞춘 제품이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
